Исследователи по безопасности сообщили о выявлении вредоносных пакетов в репозиториях npm и PyPI, которые маскировались под компоненты, связанные с экосистемой dYdX. Об этом говорится в отчете аналитиков, изучивших цепочку публикации и поведение подозрительных библиотек.

По данным специалистов, злоумышленники загрузили несколько пакетов с названиями, визуально и семантически похожими на легитимные зависимости dYdX, рассчитывая на ошибки разработчиков при установке. Такие пакеты содержали вредоносный код, который активировался после установки и мог выполнять несанкционированные действия в системе разработчика.

Анализ показал, что вредоносные библиотеки использовали техники typosquatting и dependency confusion. В npm-пакетах вредоносная логика была реализована через postinstall-скрипты, а в PyPI - через код, исполняемый при импорте модуля. Основная цель заключалась в сборе чувствительных данных, включая токены окружения, ключи API и другую информацию, используемую в CI/CD-пайплайнах.

Эксперты отмечают, что подобные атаки особенно опасны для блокчейн- и финтех-проектов, где утечка ключей может привести не только к компрометации инфраструктуры, но и к прямым финансовым потерям. Использование узнаваемого бренда dYdX повышало доверие к пакетам и увеличивало вероятность их установки.

После обнаружения инцидента вредоносные пакеты были удалены из npm и PyPI. Специалисты рекомендуют разработчикам внимательно проверять имена зависимостей, использовать lock-файлы, ограничивать сетевую активность на этапе установки пакетов и регулярно проводить аудит цепочки поставок ПО, так как атаки через публичные репозитории остаются одним из наиболее эффективных векторов компрометации.